Dati sanitari di migliaia di cittadini lombardi in vendita nel Dark Web a 25 euro
«I dati sanitari sono ancora in vendita su Internet. E potrebbero servire per ulteriori truffe o per colpire, per esempio, le aziende per cui lavorano gli utenti». A due mesi di distanza dall’attacco hacker alla piattaforma «Paziente consapevole», usata anche da medici di famiglia e pazienti lombardi — circa 180 mila — per scambiarsi informazioni personali e documenti, continuano i rischi.
Ad analizzare le ricadute del furto è Cyberoo, azienda specializzata in cyber security. Secondo un approfondimento condotto dal team di threat intelligence, che si occupa di minacce informatiche, su un forum underground russo un utente con il nickname wizgun ha messo in vendita un database con informazioni sanitarie. Quei dati sarebbero stati «sfilati» dalla app.
Il venditore, già attivo in contesti legati al cybercrime internazionale, afferma che la cartella contiene prescrizioni mediche, certificati di esenzione, permessi di malattia e informazioni personali dettagliate, con documenti risalenti almeno al 2020.
In totale ci sarebbero 90 mila pazienti identificati, di cui 30 mila con indirizzo email associato e 4.300 con numero di telefono fisso o di cellulare. Nell’annuncio è visibile anche l’anteprima di alcuni dati sensibili. E, come in ogni compravendita, viene indicato un prezzo d’acquisto: 25 euro per ogni profilo con le prescrizioni, 35 per un profilo completo di dati personali, contatti, prescrizioni e documentazione legata ai permessi di malattia, 1,84 bitcoin per l’intero database, al valore del bitcoin al momento della pubblicazione.
Il furto viene definito «uno dei peggiori scenari possibili in termini di impatto sulla privacy e sulla sicurezza delle persone. I dati medici, infatti, sono immutabili e difficili da contenere una volta pubblicati in ambienti criminali».
Quei dati potrebbero essere usati per estorsioni mirate, truffe assicurative, furti di identità e profilazioni illegali per finalità commerciali o discriminatorie.
Rischi di cui è consapevole la Regione, che in una seduta della commissione Bilancio al Pirellone ha raccontato di come è stato scoperto l’attacco (la app, pur avendo accesso a dati regionali, non è stata scelta da Palazzo Lombardia ma solo da alcuni medici di famiglia convenzionati con il Servizio sanitario regionale). Inoltre, dopo alcuni controlli, solo 5 delle 22 piattaforme simili in uso sono risultate conformi alle regole sulla sicurezza informatica.
La consapevolezza su questo tema, secondo Cyberoo, deve aumentare non solo a livello di istituzioni. «È una questione di cultura delle persone — dice Veronica Leonardi, executive board member e investor relator di Cyberoo — su Internet siamo molto ingenui». Nessuno condividerebbe con tanta leggerezza le stesse informazioni che invece diffonde su Internet senza troppi scrupoli.
Il web, a suo giudizio, oggi è una sorta di far west. «L’Unione europea dà alle istituzioni alcune indicazioni sulle regole da seguire, ma sarebbe ora che le desse anche ai singoli cittadini. Dobbiamo imparare a gestire i rischi dell’uso del web. Perché una volta che i dati personali vengono messi in vendita, non si possono eliminare». Anzi, con un effetto domino potrebbero essere la base di partenza per altre truffe.
Fonte: Il Corriere della Sera
